Loading…
Tilbage

Diskussionspapir om nye digitale sikkerhedsmodeller


19-01-2011 12:10:00

God it-sikkerhed kan i dag ikke kun opnås, ved beskytte sine systemer med høje mure (perimetersikkerhed). Faktum er, at en virksomheds interne systemer bliver åbnet, når medarbejderne bevæger sig ud af systemerne, ved eks. at tjekke mails på deres smartphones. Et andet element, der åbner systemerne, er den øgede brug af cloud computing.

Der er derfor behov for at videreudvikle it-sikkerheden, så den i højere grad imødekommer disse udfordringer. Samtidig er det nødvendigt at tænke sikkerhed og privatlivsbeskyttelse ind fra starten af løsningsdesignet - at lave forebyggende sikkerhed.

I dette diskussionspapir om nye digitale sikkerhedsmodeller, tages der en første diskussion af, hvordan man kan udforme en sikkerhedsmodel med stærk privatlivsbeskyttelse samt muligheden for at rykke data ud i skyen. ­Med de nye teknologier åbnes der op for helt nye tjenester og løsninger, som ikke har været mulige tidligere.

Dikussionspapiret beskriver de grundlæggende elementer i en ny sikkerhedsmodel der:

  • Giver sikkerhed for alle parter i en transaktion (herunder brugerne).
  • Dekobler data fra brugernes fysiske identitet.
  • Er baseret på kontekstafhængige akkreditiver og transaktionsisolering
  • Går fra et identifikationsbaseret paradigme til et valideringsorienteret paradigme.

Her på digitaliser.dk vil vi starte en debat om nogle af de spørgsmål, der knytter sig til de nye sikkerhedsmodeller. Vi opfordrer jer til at bruge kommentarfelterne nedenfor til at diskutere disse eller andre spørgsmål:

 1. Er de nye sikkerhedsmodeller reelt bedre?

  • Er der behov for at videreudvikle digitale sikkerhedsmodeller i den retning, som er skitseret i dette papir.
  • Er sikkerhedsmodellerne, som beskrevet i dette papir sikre og fleksible nok?

 2. Hvordan kommer vi til den nye model – hvilke udfordringer er der?

  • Hvilke praktiske udfordringer er der for at iværksætte nye sikkerhedsmodeller?
  • Hvad er det for en holdning, der skal gøres op med for at komme i gang med nye sikkerhedsmodeller?

 3. Hvor kan den nye model iværksættes enkelt?

  • Kan nogen af de principper der er præsenteret i dette papir eksempelvis implementeres i mindre skala?
  • Hvilke områder vil det være relevant at anvende de nye sikkerhedsmodeller på?
  • Hvordan designes applikationer, så de er forberedt på den nye sikkerhedsmodel?

 4. Hvad kræver de nye sikkerhedsmodeller af brugerne?

  • De nye sikkerhedsmodeller kan i visse tilfælde forudsætte, at brugeren (eller rettere dennes klient) skal administrere en række nøgler til forskellige tjenester og services. Stilles der for høje krav til brugernes kompetencer til at indgå i interaktionen med applikationen samt træffe valg?
  • Det kræver også, at brugerne aktivt tager stilling til, hvilke oplysninger brugeren ønsker at videregive til forskellige services og tjenester. Er det noget, den gennemsnitlige danske bruger vil interessere sig for?

 5. Hvilke nye løsninger kan du forestille dig?

For mere information kontakt Morten Jørsum på: mojo@itst.dk

Nedenstående film giver et kort eksempel på hvordan man kan benytte de nye sikkerhedsmodeller:

Filer og referencer

Titel Type
Nye digitale sikkerhedsmodeller.pdf pdf
Internal Link Intern reference
Internal Link Intern reference
Profilbillede

Håndtering af alderskrav kan blive kritisk succesfaktor

Henrik Biering

Mange tjenesteudbydere kræver idag oplysning om fødselsdag som følge af forskellige lovkrav om minimumsalder.

Ofte har tjenesteudbyderen herudover et ønske om at kunne aldersbestemme brugerne for at kunne tilpasse sine tilbud til brugeren på samme måde, som en expedient i en traditionel butik visuelt kan gøre, når en kunde træder ind i butikken.

Så eksemplet med dating site på side 29 i diskussionspapiret kunne ligeså godt dreje sig om så forskellige ting som et supermarked, en online markedsplads, et videosite eller en idrætsklub. Og sikkert også i flere offentlige sammenhænge.

Profileringsmæssigt vil det som regel være tilstrækkeligt at kende fødselsåret, mens det normalt antages at være nødvendigt at kende den præcise fødselsdag for at kunne dokumentere efterleven af lovkrav om minimumsalder.

Da fødselsdagen i kombination med mange andre typer oplysninger kan danne basis for identifikation, gælder det altså om at eliminere dette lovmæssigt baserede behov.

Teoretikere foreslår ofte at løse denne problemstilling ved at fremstille dynamiske akkreditiver, så en bruger på et givet tidspunkt blot kan dokumentere at hans alder er større end xx år. Sådanne akkreditiver er imidlertid formålsløse i forbindelse med online tjenester, hvor f.eks. et flueben på oprettelsesformularen "hvis jeg ikke er gammel nok nu, så check igen og giv mig besked, når jeg er" blot vil blive standard på de fleste oprettelsesformularer. Og er brugeren allerede oprettet som juniorbruger, vil den servicevenlige portal jo gentage aldersforespørgslen mindst én gang hver dag ved login.

Den eneste reelle måde at eliminere behovet for kendskab til fødselsdagen er derfor at fastslå at alderen kan dokumenteres alene på basis af kendskab til fødselsåret (d.v.s. Aktuelt år minus fødselsår). Rent faktuelt burde det allerede være sådan, idet flere love udelukkende specificerer at man skal være f.eks. 16 eller 18 år uden nogen decimalangivelse, angivelse af "fyldt" eller lignende.

Hvis det kan fastslås at alderen skal bestemmes ud fra de oplysninger en tjenesteudbyder har om en bruger - og at heltalsberegning med år er et tilstrækkeligt krav, vil det give tjenesteydere et meget stort incitament til kun at forespørge på fødselsår og undlade forespørgsel på fødselsdag. Både bruger og tjenesteudbyder vil herved få i gennemsnit 6 måneders forspring til at opbygge relationer i forhold til tjenesteudbydere, der også forespørger på fødselsdag.

Hvis angivelsen af en minimumsalder på f.eks. 18 år i lovene istedet skal tolkes som en minimumsalder på 365,25 x 18 dage, vil en tjenesteudbyder, der begrænser sig til at forespørge på fødselsår istedet måtte se passivt til i gennemsnitligt 6 måneder mens hans mere privacy-intrusive konkurrenter opbygger relationer med brugerne.

Sådanne love kan derved let blive en showstopper for minimum-disclosure og dermed en reel trussel mod hele grundlaget for det ønskede paradigmeskifte.

Omvendt vil en tolkning, der favoriserer minimum-disclosure allerede nu kunne virke som en katalysator for den ønskede udvikling mod kontextbaserede akkreditiver og consent - også selvom løsningerne i en overgangsperiode vil være afhængige af brugerens tillid til sin IDP.

Profilbillede

Hvordan kommer vi til den nye model – hvilke udfordringer er der?

Henrik Biering

Der er ikke tvivl om at dette diskussionspapir åbner op for scenarier, der er attraktive for såvel brugere, som for offentlige og private tjenesteudbydere.

Realisationen af disse scenarier rummer dog flere komplekse problemstillinger, hvor selve kryptoteknologien formentlig er den mindste. Det sværeste at løse er utvivlsomt de "Hønen og Ægget" problematikker, der ligger i selve paradigmeskiftet.

Eksempel: Når TELLERs anbefalinger til internetbutikker idag er som beskrevet på side 2 højre spalte i dette dokument hvad skal så motivere butikkerne til at begrænse indsamling og brug af personhenførbare og korellerbare informationer som navn, adresse og telefonnummer for ikke at tale om CPR-nummer - selv når/hvis det pengetransaktionsmæssigt ikke længere er påkrævet?

Og hvad kan f.eks. en dansk/nordisk betalingsformidler stille op i en globaliseret VISA/MASTERCARD verden, hvor det er essentielt at danskfremstillede løsninger er interoperable med de løsninger, der indføres i andre - specielt større - lande. Ellers bliver danske særtiltag jo blot en forskningsøvelse - eller endnu værre - at Danmark mister terræn i det internationale innovationskapløb. Det kan derfor ærgre at selve diskussionspapiret er skrevet på dansk og ikke på engelsk.

Mange af de oplysningskrav, som idag stilles af offentlige og private tjenesteudbydere bunder i lovgivning, som også i sig selv er baseret på det traditionelle paradigme. Der bør derfor laves en systematisk gennemgang af eksisterende love og forordninger for at vurdere om en justering af disse kunne øge incitamentet blandt offentlige og private tjenesteudbydere for at minimere deres brug af personhenførbare oplysninger.

Herudover må man være forberedt på at brugernes holdning, lyst og evne til at administrere deres oplysninger varierer meget, hvilket nødvendigvis må afspejle sig i et bredt udbud af specifikke løsninger. Vi kan jo allerede idag se hvordan nogle brugere foretrækker den traditionelle digitale signatur, mens andre føler sig trygge ved at outsource sikkerheden til DanID. Hvad kan man fra det offentliges side gøre for at give brugerne frit valg mellem passende certificerbare løsningselementer fremfor at tvangsfodre dem med proprietære, sparsomt dokumenterede stats- og bankopfundne løsninger?

Formålet med dette indlæg er således ikke at kritisere selve oplægget, men derimod påpege behovet for at komme helt "down to basics" i en kulegravning for at finde mulige incitamenter for diverse interessenter til at påbegynde rejsen mod det ny paradigme. En gulerod foran næsen er bedre end 10, der hænger så højt oppe i skyen at man ikke umiddelbart kan nappe dem. Jeg har selv et par konkrete idéer, som jeg vil tillade mig at lufte i separate tråde.

ændret af Henrik Biering (06.02.2011)

Hej Henrik - Tak for dit indlæg. 

Du har helt ret i at der skal være meget på plads udover at den nødvendige kryptografi kan fås i kommercielt tilgængelige løsninger - som dine eksempler og forslag også viser.

Een af dine indvendinger kan vi dog heldigvis nemt adressere - det er den om at papiret burde være på engelsk i stedet for på dansk. Andre har også påpeget dette, og vi har allerede modtaget flere udenlandske henvendelser - så vi arbejder på højtryk med at producere en engelsk udgave.

Jeg ser frem til at høre mere om de ideer du nævner

/Søren P

Profilbillede

Tysk ePerso

Markus Hens

En sikkerhedssystem, der implementerer mange af de forslag i oplægget (inklusive "pseudonymer" tilgang, hvor personen identificeres uden at der overføres personoplysninger), er allerede i drift i Tyskland siden 01.11.2010: http://www.personalausweisportal.de/cln_164/DE/Der-Neue-Ausweis/der-neue-ausweis_node.html

 

Markus,

Tak for din kommentar. Kan du fortælle mere om hvordan den Tyske løsning fungerer, hvilke tanker fra oplægget den implementerer og hvordan?